> 首頁 > 關于德州扑克之夜官方网站 > 公司動態 > 業界新聞 >

業界新聞

Industry News

小心!黑客入侵攝像頭,并非玩笑話

2019-12-30
如果你在空無一人的房中
忽然聽到詭異音樂聲
還有人跟你對話
是不是會被嚇到?
近期小編在網絡上看到一個
黑客入侵家庭攝像頭的視頻
令人毛骨悚然

“我是你最好的朋友,我是圣誕老人。”一個8歲的女孩在無人的房間里聽到了這樣的一句招呼。聲音從攝像頭傳來,在攝像頭的背后,是一個不知其面孔的黑客。這是在圣誕來臨之際,發生在美國的真實的一個攝像頭入侵事件。一雙眼睛正在你無知覺的情況下,通過攝像頭觀察著你,令人毛骨悚然。

攝像頭攻擊的潘多拉盒子

2016年底,Mirai打開了攝像頭攻擊的潘多拉盒子,彼時,數十萬攝像頭組成的僵尸網絡Mirai,以當時最大(620G)DDoS流量攻擊了美國的域名服務商Dyn,導致多家知名網站無法訪問,一戰成名。到今年,隨著智能家居的熱度攀升,智能家用攝像頭由于設備簡單、價格親民,更早地進入到千萬家庭中,但安全防范不足,導致攝像頭頻遭攻擊。

年初,亞馬遜旗下一家智能門鈴研發公司被爆出,公司員工允許觀看用戶門鈴攝像頭拍攝的視頻,甚至在公司服務器上共享這些未加密視頻;

今年6月,央視報道,市面上的家用攝像頭8成存在安全隱患。這些都直指攝像頭安全問題。

目前,攝像頭應用已經形成了一條完整的集破解、販賣的黑色產業鏈。

在一些貼吧里,存在大量售賣家庭智能攝像頭破解方法的帖子,售價從20-300元不等,最“便宜”的只需要幾十個站點積分。而更典型的是直接售賣破解軟件,如IP掃描。購買者只要輸入任意地區的IP段,就能對某品牌攝像頭進行特征搜索,隨后找到IP段里所有該品牌攝像頭,如果攝像頭存在弱口令的情況,可以做到直接登錄系統,查看攝像頭畫面。



在治理之下,一些破解貼已經相繼關閉,但還有漏網之魚。在10月份的時候還可以看到有人在咨詢、購買、分享攝像頭密碼破解軟件。

除了販賣破解方法,所謂的“攝像頭”買賣也是這一黑色產業鏈的重要組成部分,一個攝像頭信息售價在5~10元,買入就可以觀看該攝像頭的錄制內容,其中甚至包括大量私密視頻,嚴重侵犯公民隱私,社會危害性極大。

2019攝像頭安全漏洞和攻擊手段

截至2019年9月,研究人員在全球范圍內已經發現了15000個私人網絡攝像頭存在安全漏洞。相較于往年,漏洞數正在持續上升并且影響更廣,如:

谷歌Nest Cam IQ網絡攝像頭(4620002版本)
影響:兩者可以由黑客發送的特制數據包觸發,允許黑客擴展Weave訪問和控制設備。

Honeywell equIP系列和Performance系列攝像頭
影響:網絡系統或產品不能正確限制來自未授權角色的資源訪問。

亞馬遜旗下的blink XT2安全攝像頭系統
影響:讓無法接觸到這些設備的攻擊者非法查看攝像頭鏡頭、接收音頻,并劫持設備以加入某個僵尸網絡。

以上漏洞已基本被廠商修復。

可以說,目前智能攝像頭主要是基于手機App對IPC監控視頻實時遠程觀看的網絡部署形式,NVR/DVR/IPC聯網后,能夠通過服務商的遠程服務器將視頻數據發送到用戶手機上,用戶通過手機App遠程觀看并控制攝像頭的方向。

這個過程中,網絡攻擊圍繞云端、手機端、攝像頭設備端口3個部分展開。
云端:針對服務器開放的服務本身的缺陷進行攻擊,比如弱口令和0day漏洞。
手機端:常見的如MITM攻擊、App脫殼等。
設備:常見的如固件提取、固件降級、調試接口暴露、逆向加密。

此外,還有針對三者之間的通信協議的攻擊。而一旦家庭攝像頭被控制,那么黑客甚至可以暢通無阻地以攝像頭為跳板,攻擊家庭范圍內的其他物聯網設備手機等智能設備,危害極大。

建議

智能攝像頭的初衷安全,最后卻被安全所困。
因此,除了呼吁智能攝像頭廠商在惡意代碼防護、云加密、弱口令校驗、訪問控制等方面加大技術安全投入,普通用戶也一定要定期殺毒掃描、啟用雙重認證、經常更新帳戶密碼,最好是將攝像頭安裝在客廳等公共空間、不使用的情況下盡量拔掉電源以阻止訪問。